Ein nicht infiziertes Backup einspielen sollte helfen.
Bei gehackten Websites ist immer die Gefahr groß, dass die Angreifer irgendwo Backdoors installiert haben, um sich nach einer Säuberung der Website erneut Zutritt zu verschaffen. Deshalb solltest du das Verzeichnis wp-content und die wp-config.php sichern und jede Datei einzeln auf möglichen Schadcode prüfen (auch die Mediendateien!). Alles andere musst du ausnahmslos vom Server löschen, WordPress-Core, Themes und Plugins frisch aus dem WordPress-Repository herunterladen und auf den Webserver hochladen, dann wp-config.php und das gründlich kontrollierte Verzeichnis wp-content wieder hochladen. In der Datenbank-Tabelle wp_users solltest du verdächtige Benutzer löschen. Nicht vergessen, alle Zugangsdaten (Kundemenü des Webhosters, FTP, MySQL-Datenbank, WordPress-User) auszutauschen.
Einfacher (und weitaus weniger zeitaufwändig) ist tatsächlich eine Wiederherstellung eines nicht kompromittierten Backups – wenn du selber keins angelegt hast, frag bei deinem Webhoster nach.
